Brecha de datos en la empresa fintech Figure afecta a casi 1 millón de cuentas

La empresa de tecnología financiera Figure ha sufrido una brecha de seguridad significativa, resultando en la exposición de información personal y de contacto de aproximadamente 967,200 cuentas. El incidente, atribuido a un ataque de ingeniería social de tipo "vishing" (phishing por voz) contra empleados, permitió a los atacantes obtener credenciales y códigos de autenticación multifactor (MFA). Posteriormente, los datos robados fueron publicados en línea.

Los datos expuestos incluyen nombres, números de teléfono, direcciones físicas, direcciones de correo electrónico y fechas de nacimiento. El grupo ShinyHunters se ha atribuido la responsabilidad de la brecha y ha añadido a Figure a su sitio de filtraciones en la dark web.

Este incidente se enmarca en una campaña más amplia de vishing dirigida a cuentas de Single Sign-On (SSO) en proveedores como Okta, Microsoft y Google, que ha afectado a más de 100 organizaciones, incluyendo otras empresas como Canada Goose, Panera Bread, Betterment, SoundCloud, PornHub, CrowdStrike y Match Group.

¿Que es Figure?

La empresa Figure, una compañía de tecnología financiera nativa de blockchain que opera sobre la Provenance blockchain, confirma la brecha después de que los datos fueran publicados en febrero de 2026. El incidente se relaciona con una campaña de vishing más amplia que ha afectado a múltiples organizaciones a través de ataques dirigidos a credenciales de SSO. El modus operandi de esta campaña implica que los atacantes se hagan pasar por personal de soporte de TI para engañar a los empleados, induciéndolos a introducir sus credenciales y códigos MFA en sitios de phishing, lo que les otorga acceso a sistemas y aplicaciones corporativas.

Fuente.

https://www.bleepingcomputer.com/news/security/data-breach-at-fintech-firm-figure-affects-nearly-1-million-accounts/